攻防演练“轻装上阵” | 亚信安全信舱ForCloud 打造全栈防护新策略

news2024/10/7 3:20:47

网络世界攻防实战中，攻击风险已经从代码到云横跨全栈技术点，你准备好了吗

云服务器，攻击众矢之的

2022年超过38万个Kubernetes API服务器暴露公网，成为攻击者目标。云服务器，尤其是开源设施，一直以来不仅是攻击目标，更可能形成广泛的攻击面，在攻防实战中很可能成为侵入的突破口。

云原生、容器漏洞问题频发

2023年谷歌、亚马逊、微软等爆发了多起严重的云原生安全事件，编排平台和容器运行所产生的问题，以及应用云原生化所带来的威胁，要求企业在防护思路上更加全面落地。

能力缺失

企业业务云化不断加深，在立体化的场景下，传统的云安全防护重点发生变化，攻防战场已然从云主机层面，延伸到虚拟化底层。传统的安全防护主要集中在主机层面，而对底层虚拟化技术和上层业务系统的安全防护不够，导致防护能力缺失。

联动缺失

随着云化业务的发展，用户需要部署越来越多的安全产品来应对不同的安全威胁。然而，这些产品之间往往孤立，缺乏有效的联动机制，造成安全防护过程中的资源分析和联动处置效率低下，时效性延迟。

管理难点

多防护场景下，用户需要部署大量的探针，这不仅增加了对服务器资源的消耗，也给云平台带来了额外的负担。从管理的角度来看，资源消耗的增加和复杂性上升给客户带来了不良的体验，同时也可能成为新的安全隐患和管理上的不便。

攻防实战考验，需要“全栈安全为云而生”

当前，大型攻防演练已经不止是技术较量，更是对安全防护体系的全面校验。亚信安全信舱ForCloud可有效应对云基础设施安全、工作负载安全、应用层面的各种安全风险与威胁，实现云主机安全、云原生安全、漏洞补丁管理、流量隔离、web安全等多方面能力的全栈一体，满足用户复杂、多层级云环境中的安全需求。在大型攻防演练实战的前、中、后等阶段中，信舱ForCloud可从攻击方的视角出发，通过三个方面提供主动防守价值，联防联抗的同时对资源占用小，让企业单位实现“轻装上阵”，事半功倍地迎接攻防演练大考。

防守值+1

缩减暴露的攻击面，提升综合运营监测能力。

防守值+2

提升纵深防护与检测能力，铸就安全最后一道围墙

防守值+3

分析定位网络攻击行为，提升应急响应与溯源分析能力

01 大型攻防演练前期：缩减风险暴露面，加强攻击面收敛

梳理主机及容器侧资产，建立明细台账。信舱ForCloud能够从安全视角出发，采集容器、镜像、节点资产、系统配置信息、应用信息、行为信息，构建细粒度的资产库，支持对基础设施层、业务层资产精准识别和动态感知，基于大数据的资产搜索能力，提供准确、快速的资产定位能力，让保护对象清晰可见。

暴露面分析，风险评估。对于资产变更分析，ForCloud能够评估资产配置、权限、参数变化带来的风险，通过实时监控和基线比对，提前发现异常资产行为。此外针对操作系统、数据库和应用的弱密码风险，能够进行精准检测，有效预防黑客定向破译的风险，以及对操作系统、Web容器、数据库及其他应用的配置缺陷进行检测，及时进行缺陷修复加固，缩小资产暴露面。

02 大型攻防演练中期：铸就纵深防护体系，守好最后一道防线

在这一阶段，ForCloud以“三化六防” 作为总体目标，在“安全运营”支撑下，聚焦“靶标”，形成了攻防对抗下快速响应及处置的联动机制。

以全面监控为要务。信舱ForCloud可结合全面监控的能力，对账号、文件、网络、进程行为等进行实时监测，任何异常尽收眼底。高级威胁检测技术的应用为关键。针对常见的入侵检测以及高级攻击威胁，信舱ForCloud可通过多引擎查杀、WAF及部署主机蜜罐等方式实时监测与防护，精准识别、实时阻断主机侧的无文件内存马攻击、已知&未知威胁、web应用威胁，对容器侧的容器逃逸、容器恶意行为等也可检测到位。联动防御为重点。信舱ForCloud以联动防御为重点，实现全网的安全联动响应，一旦发现疑似攻击，可疑容器等，迅速采取措施，如停止容器、封停攻击IP、文件隔离、主机隔离、账号禁用、阻断攻击行为、加强端口安全等。

03 大型攻防演练后期：快速响应，溯源分析

当演练进入后期，在激烈的战事下用户可能面对主机失陷的困境。此时更需要快速响应和强大的溯源分析能力。通过实时监控异常流量及告警信息，ForCloud能够及时启动响应处置流程，包括检测阶段、系统隔离、问题定位、调查取证、木马清除、主机修复及恢复。根据应急响应过程中取证的数据，结合信舱平台、威胁情报、蜜罐等工具，利用社工等多种手段进行追踪溯源，从而实现为防守方有效加分。